摘要

隨著網(wǎng)絡(luò)的快速發(fā)展，各類社會(huì)活動(dòng)的信息化日益普及，但是網(wǎng)絡(luò)安全威脅也更加復(fù)雜多變，使得信息系統(tǒng)處于安全威脅風(fēng)險(xiǎn)極高的環(huán)境中，嚴(yán)重威脅信息的共享和獲取。針對(duì)核心信息系統(tǒng)的安全防護(hù)，提出了一種信息系統(tǒng)免疫安全防護(hù)架構(gòu)。針對(duì)信息系統(tǒng)高可用和高可靠性需求，結(jié)合生物免疫原理，圍繞信息系統(tǒng)的系統(tǒng)、網(wǎng)絡(luò)、終端建立協(xié)同聯(lián)動(dòng)的安全防護(hù)體系，并綜合應(yīng)用各類安全數(shù)據(jù)進(jìn)行安全威脅的深度挖掘和響應(yīng)處置，有效保障信息系統(tǒng)持續(xù)可靠地運(yùn)行。

內(nèi)容目錄

１相關(guān)工作

2 架構(gòu)設(shè)計(jì)

3 防御機(jī)制設(shè)計(jì)

3.1 系統(tǒng)側(cè)安全防護(hù)

3.1.1 免疫安全防護(hù)控制

3.1.2 威脅監(jiān)測(cè)識(shí)別

3.1.3 安全協(xié)同防護(hù)

3.1.4 自免疫保護(hù)環(huán)境

3.2 網(wǎng)絡(luò)側(cè)安全防護(hù)

3.2.1 網(wǎng)絡(luò)偽裝欺騙

3.2.2 威脅攻擊誘捕

3.3 終端側(cè)安全防護(hù)

3.3.1 終端安全防護(hù)

3.3.2 終端檢測(cè)響應(yīng)

3.3.3 防病毒

4 結(jié)? 語(yǔ)

近年來(lái)，大數(shù)據(jù)、人工智能等技術(shù)高速發(fā)展，為信息系統(tǒng)的賦能增效帶來(lái)極大的助力，并促進(jìn)了信息系統(tǒng)更好地服務(wù)于社會(huì)。但是，隨著信息系統(tǒng)越來(lái)越深入人們的工作、生活、學(xué)習(xí)等方面，人們對(duì)信息系統(tǒng)的依賴也越來(lái)越強(qiáng)。為了保障信息系統(tǒng)的持續(xù)可靠運(yùn)行，面向信息系統(tǒng)的安全防護(hù)設(shè)施也應(yīng)運(yùn)而生，然而，傳統(tǒng)的安全防護(hù)設(shè)備主要針對(duì)特定已知的威脅攻擊行為，且多獨(dú)立運(yùn)行，難以應(yīng)對(duì)當(dāng)前復(fù)雜的網(wǎng)絡(luò)威脅攻擊形勢(shì)。

本文針對(duì)核心信息系統(tǒng)的持續(xù)、高效、可靠運(yùn)行的需求，基于生物免疫機(jī)制，提出了一種信息系統(tǒng)免疫安全防護(hù)架構(gòu)。通過構(gòu)建面向系統(tǒng)、網(wǎng)絡(luò)、終端側(cè)的防御機(jī)制，綜合運(yùn)用系統(tǒng)、網(wǎng)絡(luò)、終端的各類安全數(shù)據(jù)，實(shí)現(xiàn)信息系統(tǒng)安全威脅攻擊的高效感知和智能應(yīng)對(duì)，從而提升信息系統(tǒng)持續(xù)運(yùn)作能力。

1相關(guān)工作

針對(duì)信息系統(tǒng)的安全防護(hù)需求，目前已有多種應(yīng)對(duì)方案，但通常只能被動(dòng)接受防護(hù)指令，存在嚴(yán)重的滯后性和局限性，而生物免疫機(jī)制由于其良好的自適應(yīng)、自學(xué)習(xí)能力，給信息系統(tǒng)安全防護(hù)帶來(lái)了巨大啟發(fā)，因此受到越來(lái)越多的關(guān)注。

在美國(guó)新墨西哥大學(xué)，Dr.Forrest 及其所在的研究中心首次將人工免疫理論應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行病毒檢測(cè)。美國(guó)諾貝爾獎(jiǎng)得主 Niels K. Jerne 博士提出了著名的免疫網(wǎng)絡(luò)理論，其主要觀點(diǎn)是將生物體的免疫系統(tǒng)看成是一個(gè)由免疫細(xì)胞組成的、能夠相互刺激和協(xié)調(diào)的網(wǎng)絡(luò)。美國(guó) IBM 研究中心的研究人員 Kephart 等人建立了第一個(gè)投入商業(yè)應(yīng)用的計(jì)算機(jī)病毒免疫系統(tǒng)。該系統(tǒng)利用分布式網(wǎng)絡(luò)結(jié)構(gòu)，對(duì)用戶提交的眾多任務(wù)進(jìn)行快速高效的分析處理。2010 年，受生物免疫系統(tǒng)的啟發(fā)，美國(guó)國(guó)防部高級(jí)研究計(jì)劃局（Defense Advanced Research Projects Agency，DARPA）提出了實(shí)用化的免疫網(wǎng)絡(luò)安全系統(tǒng) CRASH，在該系統(tǒng)中引入了先天性免疫、適應(yīng)性免疫，以及多樣性策略機(jī)制。

目前，我國(guó)在基于人工免疫理論的網(wǎng)絡(luò)安全技術(shù)方面的研究還處于初級(jí)階段，相關(guān)的理論成果還不多。部分專家學(xué)者將免疫技術(shù)與可信計(jì)算結(jié)合在一起，提出了基于可信計(jì)算的網(wǎng)絡(luò)安全防御體系。還有人將免疫原理應(yīng)用到網(wǎng)絡(luò)安全防護(hù)中，提出了網(wǎng)絡(luò)自免疫內(nèi)生安全防護(hù)體系 ，實(shí)現(xiàn)自適應(yīng)、自學(xué)習(xí)、自組織及動(dòng)態(tài)的網(wǎng)絡(luò)安全防護(hù)能力。另外，免疫原理在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè) 和惡意代碼檢測(cè)中也有一些探索性應(yīng)用。

本文基于生物免疫原理，提出了一種信息系統(tǒng)免疫安全防護(hù)架構(gòu)，能夠?qū)崿F(xiàn)信息系統(tǒng)自適應(yīng)、自進(jìn)化安全防護(hù)能力，有效保障信息系統(tǒng)業(yè)務(wù)的持續(xù)可靠運(yùn)行。

２架構(gòu)設(shè)計(jì)

免疫（Immunity）的原意是機(jī)體對(duì)病原侵害做出的應(yīng)答反應(yīng)。免疫系統(tǒng)是維持生物體自身健康狀態(tài)必不可少的關(guān)鍵系統(tǒng)，具有免疫防御、免疫監(jiān)視和免疫自身穩(wěn)定三大功能，通過發(fā)現(xiàn)、消滅外來(lái)病原體來(lái)防止感染，并監(jiān)控體內(nèi)異常病變細(xì)胞，對(duì)維持機(jī)體內(nèi)環(huán)境的穩(wěn)態(tài)發(fā)揮著重要作用。借鑒生物免疫能夠適應(yīng)環(huán)境變化，并且具有靈活多變保護(hù)措施的防護(hù)機(jī)理，參照免疫系統(tǒng)具有的記憶性、自限性、多樣性、耐受性、特異性等功能特性，本文提出，針對(duì)信息系統(tǒng)的免疫安全系統(tǒng)應(yīng)具備以下 5 個(gè)方面的能力：

（1）能夠從實(shí)體身份、行為特征等維度識(shí)別出“本體”和“異體”；

（2）能夠?qū)ψR(shí)別的“異體”包括實(shí)體和行為，采用不同策略實(shí)施“排異”；

（3）在遭受攻擊破壞時(shí)，能夠在一定程度上對(duì)影響范圍進(jìn)行控制，具備“帶病運(yùn)行”的特點(diǎn)；

（4）在遭受不可抗力的破壞時(shí)，能夠通過數(shù)據(jù)重置，重新啟動(dòng)運(yùn)行；

（5）能夠針對(duì)外部刺激或基于外部信息，產(chǎn)生特征“疫苗”實(shí)現(xiàn)安全防護(hù)能力的持續(xù)提升。

基于信息系統(tǒng)免疫安全特征，提出集主動(dòng)識(shí)別、威脅抑制、入侵容忍、自適應(yīng)恢復(fù)、持續(xù)進(jìn)化于一體的信息系統(tǒng)免疫安全防護(hù)模型。信息系統(tǒng)免疫安全防護(hù)模型如圖 1 所示。

圖 1 信息系統(tǒng)免疫安全防護(hù)能力模型

另外，在對(duì)信息系統(tǒng)進(jìn)行安全防護(hù)設(shè)計(jì)之前，本文先對(duì)信息系統(tǒng)運(yùn)用模式進(jìn)行概要分析。信息系統(tǒng)應(yīng)用部署框架通常如圖 2 所示，各個(gè)信息系統(tǒng)采用單獨(dú)或云化方式部署在后臺(tái)高性能服務(wù)器上，不同位置的用戶終端經(jīng)由網(wǎng)絡(luò)采用客戶端 / 服務(wù)器（Client/Server，C/S）或?yàn)g覽器 / 服務(wù)器（Browser/Server，B/S）等方式訪問各信息系統(tǒng)，滿足自身信息交互需求。結(jié)合信息系統(tǒng)的應(yīng)用模式可知，信息系統(tǒng)的使用主要與系統(tǒng)、網(wǎng)絡(luò)、終端 3 類實(shí)體相關(guān)，因此，針對(duì)信息系統(tǒng)的免疫安全防護(hù)架構(gòu)設(shè)計(jì)也將圍繞這 3 方面進(jìn)行展開。

傳統(tǒng)信息系統(tǒng)安全防護(hù)主要根據(jù)攻擊特征進(jìn)行安全配置或安全策略臨時(shí)下發(fā)，屬于被動(dòng)滯后的防御手段，導(dǎo)致防御一方在網(wǎng)絡(luò)空間安全對(duì)抗中長(zhǎng)期處于劣勢(shì)地位。為扭轉(zhuǎn)網(wǎng)絡(luò)攻防地位的不對(duì)稱性，本文按照“內(nèi)生安全、主動(dòng)塑造、體系防御”的總體思路，結(jié)合生物免疫防護(hù)機(jī)制，構(gòu)建信息系統(tǒng)免疫安全防護(hù)架構(gòu)，圍繞信息系統(tǒng)、網(wǎng)絡(luò)、終端進(jìn)行防護(hù)體系設(shè)計(jì)，以動(dòng)態(tài)調(diào)整系統(tǒng)攻擊面、增強(qiáng)自我非我識(shí)別、主動(dòng)塑造信息系統(tǒng)安全可靠運(yùn)行環(huán)境為手段，有效限制系統(tǒng)漏洞暴露及被利用機(jī)會(huì)，并在應(yīng)對(duì)各類威脅攻擊時(shí)，有效保障信息系統(tǒng)持續(xù)、可靠運(yùn)行，實(shí)現(xiàn)信息服務(wù)不中斷。

圖 2信息系統(tǒng)應(yīng)用部署框架

本文所提信息系統(tǒng)免疫安全防護(hù)總體架構(gòu)如圖3 所示，主要包括系統(tǒng)側(cè)、網(wǎng)絡(luò)側(cè)、終端側(cè)安全防護(hù) 3 個(gè)方面。其中，系統(tǒng)側(cè)安全防護(hù)綜合 3 類實(shí)體的安全數(shù)據(jù)，進(jìn)行威脅攻擊的分析識(shí)別和智能應(yīng)對(duì)，并為信息系統(tǒng)運(yùn)行提供可靠的運(yùn)行環(huán)境；網(wǎng)絡(luò)側(cè)安全防護(hù)對(duì)信息系統(tǒng)訪問網(wǎng)絡(luò)進(jìn)行偽裝和攻擊誘捕；終端側(cè)安全防護(hù)對(duì)信息系統(tǒng)訪問用戶行為及終端安全狀態(tài)等進(jìn)行實(shí)時(shí)監(jiān)測(cè)，確保信息系統(tǒng)訪問用戶及終端的安全可靠。

圖 3 信息系統(tǒng)免疫保護(hù)總體架構(gòu)

３防御機(jī)制設(shè)計(jì)

3.1系統(tǒng)側(cè)安全防護(hù)

3.1.1免疫安全防護(hù)控制

免疫安全防護(hù)控制是整個(gè)信息系統(tǒng)免疫安全防護(hù)架構(gòu)的核心，與威脅監(jiān)測(cè)識(shí)別、安全協(xié)同防護(hù)、威脅攻擊誘捕、終端檢測(cè)響應(yīng)等模塊進(jìn)行協(xié)同聯(lián)動(dòng)，并提供各類技術(shù)支持。

免疫安全防護(hù)控制包括免疫學(xué)習(xí)、免疫記憶和疫苗生成等部分，其中，免疫學(xué)習(xí)主要基于信息系統(tǒng)自身、網(wǎng)絡(luò)、終端中的各類安全數(shù)據(jù)，結(jié)合外部威脅情報(bào)進(jìn)行信息系統(tǒng)威脅的學(xué)習(xí)和挖掘，為信息系統(tǒng)潛在威脅的檢測(cè)識(shí)別提供支撐。

免疫記憶主要針對(duì)信息系統(tǒng)各類應(yīng)用服務(wù)以及典型威脅攻擊進(jìn)行行為建模和應(yīng)用畫像。通過將應(yīng)用行為中主要涉及的應(yīng)用進(jìn)程名稱、線程名稱、加載的模塊名稱及其中的調(diào)用關(guān)系，網(wǎng)絡(luò)訪問中主要涉及的網(wǎng)絡(luò)地址（源地址、目的地址等）、通信端口、通信協(xié)議、進(jìn)程流量監(jiān)控，文件訪問行為中主要涉及的文件名稱、文件類型、文件路徑、操作類型（文件讀寫、新建、刪除等），以及威脅攻擊行為中主要涉及的攻擊手段、攻擊流程、攻擊對(duì)象等進(jìn)行研究分析，實(shí)現(xiàn)應(yīng)用行為和威脅攻擊的快速識(shí)別，從而為信息系統(tǒng)“本體”和“異體”識(shí)別提供支撐。

疫苗生成則主要結(jié)合信息系統(tǒng)各類安全事件，利用信息系統(tǒng)自身各類安全防護(hù)資源，生成相應(yīng)的安全防護(hù)預(yù)案，為威脅事件的快速響應(yīng)處置提供支撐。

3.1.2威脅監(jiān)測(cè)識(shí)別

威脅監(jiān)測(cè)識(shí)別主要滿足信息系統(tǒng)的“異體識(shí)別”需求，為盡早發(fā)現(xiàn)信息系統(tǒng)存在的安全隱患，及時(shí)對(duì)威脅攻擊進(jìn)行響應(yīng)處置提供支撐。威脅監(jiān)測(cè)識(shí)別應(yīng)具備系統(tǒng)行為監(jiān)測(cè)、網(wǎng)絡(luò)行為監(jiān)測(cè)、終端行為監(jiān)測(cè)、威脅特征提取、威脅攻擊識(shí)別以及威脅事件整編等能力。

信息系統(tǒng)具有組成元素多樣的特點(diǎn)，其既包含服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端等多種物理設(shè)備實(shí)體，也包含信息服務(wù)軟件、服務(wù)協(xié)議、服務(wù)資源數(shù)據(jù)等虛擬要素。目前，主要采用虛擬機(jī)隔離防護(hù)技術(shù)、云平臺(tái)安全檢測(cè)技術(shù)、應(yīng)用服務(wù)防護(hù)技術(shù)等進(jìn)行信息系統(tǒng)威脅攻擊的檢測(cè)挖掘，但各技術(shù)運(yùn)用都比較孤立單一，只能滿足信息系統(tǒng)安全監(jiān)控部分需求，無(wú)法對(duì)信息系統(tǒng)形成全面體系化的安全監(jiān)控。針對(duì)威脅監(jiān)測(cè)識(shí)別模塊，本文提出一種信息系統(tǒng)狀態(tài)多維感知監(jiān)測(cè)機(jī)制，通過在信息系統(tǒng)云平臺(tái)、網(wǎng)絡(luò)交換設(shè)施、用戶終端等上部署軟探針或輕代理，在后臺(tái)服務(wù)器上部署威脅監(jiān)測(cè)分析系統(tǒng)，從信息系統(tǒng)計(jì)算環(huán)境基礎(chǔ)設(shè)施、信息服務(wù)平臺(tái)、信息系統(tǒng)應(yīng)用服務(wù)、網(wǎng)絡(luò)流量、終端行為等方面開展全面監(jiān)測(cè)分析，進(jìn)行威脅攻擊的融合關(guān)聯(lián)識(shí)別，實(shí)現(xiàn)信息系統(tǒng)軟件、硬件、用戶等方面安全威脅的全面監(jiān)測(cè)感知，增強(qiáng)信息系統(tǒng)威脅檢測(cè)的準(zhǔn)確性。信息系統(tǒng)多維監(jiān)測(cè)感知機(jī)制如圖 4 所示。

圖 4 信息系統(tǒng)多維監(jiān)測(cè)感知機(jī)制

3.1.3安全協(xié)同防護(hù)

安全協(xié)同防護(hù)主要滿足信息系統(tǒng)威脅攻擊的快速智能響應(yīng)應(yīng)對(duì)，為及時(shí)對(duì)威脅攻擊進(jìn)行封堵滅殺提供支撐，降低威脅攻擊對(duì)信息系統(tǒng)的損傷。安全協(xié)同防護(hù)應(yīng)具備威脅事件響應(yīng)、安全資源編排等能力。

目前，各安全防護(hù)設(shè)備通常獨(dú)立運(yùn)行，數(shù)據(jù)難以共享，防護(hù)行動(dòng)也難以進(jìn)行協(xié)同。在軟件定義安全的驅(qū)動(dòng)下，部分安全廠商提出了基于安全編排的安全防護(hù)資源協(xié)同聯(lián)動(dòng)機(jī)制，并且受到越來(lái)越多的關(guān)注。

針對(duì)安全協(xié)同防護(hù)模塊，本文提出基于事件干預(yù)和安全編排的安全防護(hù)資源協(xié)同聯(lián)動(dòng)方法。通過將各類已部署的安全工具與既有安全人力及安全流程連接起來(lái)，基于安全工作流最佳實(shí)踐及獨(dú)有工作流梳理進(jìn)行自動(dòng)化安全運(yùn)營(yíng)。根據(jù)信息系統(tǒng)威脅監(jiān)測(cè)數(shù)據(jù)和威脅事件研判結(jié)果，結(jié)合信息系統(tǒng)實(shí)際運(yùn)行環(huán)境和安全標(biāo)準(zhǔn)、規(guī)范和策略的要求，采用安全資源自動(dòng)化采集、策略自動(dòng)生成與沖突檢測(cè)、任務(wù)流程自動(dòng)編排等自動(dòng)化輔助手段實(shí)現(xiàn)對(duì)安全信息和事件處置的智能化決策，降低對(duì)人員的技能要求和時(shí)間消耗，實(shí)現(xiàn)信息系統(tǒng)各種防御策略的靈活、快速調(diào)整，確保對(duì)威脅攻擊的及時(shí)封堵。

3.1.4自免疫保護(hù)環(huán)境

自免疫保護(hù)環(huán)境構(gòu)建主要從信息系統(tǒng)可信運(yùn)行環(huán)境構(gòu)建和信息系統(tǒng)自適應(yīng)恢復(fù)兩方面進(jìn)行考量。其中，信息系統(tǒng)可信運(yùn)行環(huán)境構(gòu)建主要滿足信息系統(tǒng)運(yùn)行環(huán)境的安全可靠性需求，支持信息系統(tǒng)“本體”識(shí)別。信息系統(tǒng)自適應(yīng)恢復(fù)則主要滿足信息系統(tǒng)容災(zāi)恢復(fù)需求。

（1）信息系統(tǒng)可信運(yùn)行環(huán)境構(gòu)建

信息系統(tǒng)可信運(yùn)行環(huán)境應(yīng)具備信息系統(tǒng)運(yùn)行時(shí)保護(hù)、行為管控、資源微隔離和漏洞抑制等能力。目前，可信計(jì)算技術(shù)基于可信根通過對(duì)系統(tǒng)組件的度量確保系統(tǒng)的完整性和有效性，防止系統(tǒng)自身被篡改和替換，具有較好的“識(shí)真”能力，能夠識(shí)別和阻止“異體”的運(yùn)行，可以較好地滿足安全免疫的“排異”特性?？尚抛R(shí)別和度量技術(shù)已經(jīng)比較成熟，也有多種產(chǎn)品在各類信息系統(tǒng)環(huán)境中應(yīng)用，但是傳統(tǒng)的可信計(jì)算相關(guān)裝備應(yīng)用環(huán)境缺乏靈活性和可操作性。

本文所提免疫保護(hù)架構(gòu)采用構(gòu)建信任鏈進(jìn)行智能化增強(qiáng)，提升信息系統(tǒng)安全可信運(yùn)行環(huán)境建立的可用性和可擴(kuò)展性。通過免疫學(xué)習(xí)自主建立可信度量的信任鏈，對(duì)信息系統(tǒng)環(huán)境進(jìn)行自適應(yīng)學(xué)習(xí)來(lái)確定合法組件的特征，并在系統(tǒng)運(yùn)行中強(qiáng)化免疫記憶，持續(xù)采集特征信息，對(duì)免疫記憶進(jìn)行強(qiáng)化或修正，實(shí)現(xiàn)系統(tǒng)運(yùn)行環(huán)境自適應(yīng)的免疫識(shí)別能力。同時(shí)，通過構(gòu)建“安全容器”，整合已有的軟件可信機(jī)制，對(duì)運(yùn)行信息系統(tǒng)“白名單”管控實(shí)現(xiàn)信任鏈向業(yè)務(wù)層延伸；通過在運(yùn)行環(huán)境底層對(duì)交互的數(shù)據(jù)進(jìn)行攔截、重構(gòu)和安全性檢測(cè)，實(shí)現(xiàn)多層次的攻擊防護(hù)，并建立可信連接和訪問控制機(jī)制。信息系統(tǒng)可信運(yùn)行環(huán)境構(gòu)建如圖 5 所示。

圖 5信息系統(tǒng)可信運(yùn)行環(huán)境構(gòu)建

（2）信息系統(tǒng)自適應(yīng)恢復(fù)

信息系統(tǒng)自適應(yīng)恢復(fù)應(yīng)具備在信息系統(tǒng)崩潰和設(shè)備故障等場(chǎng)景下，進(jìn)行快速遷移或恢復(fù)的能力，保障信息系統(tǒng)高效可用。

當(dāng)前，信息系統(tǒng)容災(zāi)恢復(fù)方面主要采用容災(zāi)備份、數(shù)據(jù)鏡像、快照等技術(shù)實(shí)現(xiàn)系統(tǒng)數(shù)據(jù)的安全防護(hù)。其中，備份技術(shù)又分為離線備份和在線備份，離線備份通常是把數(shù)據(jù)備份到磁帶庫(kù)，在線備份是周期性地將數(shù)據(jù)復(fù)制到其他地點(diǎn)。鏡像技術(shù)是在兩個(gè)或多個(gè)磁盤或磁盤子系統(tǒng)上生成同一個(gè)數(shù)據(jù)的鏡像視圖的信息存儲(chǔ)技術(shù)，存在數(shù)據(jù)誤刪或損壞導(dǎo)致的數(shù)據(jù)丟失問題。快照技術(shù)是在存儲(chǔ)技術(shù)上實(shí)現(xiàn)的一種記錄某一時(shí)間系統(tǒng)狀態(tài)的技術(shù)，是指定數(shù)據(jù)集合在某個(gè)時(shí)間點(diǎn)的映像。上述技術(shù)通?；谶\(yùn)維管理角度進(jìn)行系統(tǒng)數(shù)據(jù)的容災(zāi)恢復(fù)，但缺乏安全視角下的數(shù)據(jù)恢復(fù)措施。

本文從安全角度出發(fā)，通過分析信息系統(tǒng)業(yè)務(wù)運(yùn)行環(huán)境的安全狀態(tài)，結(jié)合信息系統(tǒng)威脅攻擊研判結(jié)果，對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行綜合分析評(píng)估，提出安全驅(qū)動(dòng)的信息系統(tǒng)容災(zāi)恢復(fù)機(jī)制，即如果系統(tǒng)安全風(fēng)險(xiǎn)超過閾值，則在系統(tǒng)未崩潰時(shí)，從安全角度考慮，依然進(jìn)行系統(tǒng)運(yùn)行環(huán)境的快速重構(gòu)，避免威脅攻擊的擴(kuò)大化。安全驅(qū)動(dòng)的信息系統(tǒng)數(shù)據(jù)恢復(fù)技術(shù)，能夠解決傳統(tǒng)信息系統(tǒng)未崩潰，但威脅攻擊已無(wú)法抵御情況下的系統(tǒng)防護(hù)，同時(shí)，將安全考量融入系統(tǒng)災(zāi)備恢復(fù)中，能夠避免傳統(tǒng)災(zāi)備技術(shù)響應(yīng)遲緩所引起的數(shù)據(jù)丟失問題。

3.2 網(wǎng)絡(luò)側(cè)安全防護(hù)

3.2.1 網(wǎng)絡(luò)偽裝欺騙

網(wǎng)絡(luò)偽裝欺騙主要滿足信息系統(tǒng)威脅攻擊遲滯和阻斷需求，應(yīng)具備仿真網(wǎng)絡(luò)構(gòu)建、網(wǎng)絡(luò)動(dòng)態(tài)調(diào)整、策略自適應(yīng)跳變等能力。

目前，部分安全廠商已開發(fā)了蜜網(wǎng)等相關(guān)的網(wǎng)絡(luò)偽裝欺騙工具。本文所提免疫安全防護(hù)架構(gòu)可集成現(xiàn)有網(wǎng)絡(luò)偽裝欺騙工具，結(jié)合威脅事件響應(yīng)處置流程，通過對(duì)重點(diǎn)防御目標(biāo)網(wǎng)絡(luò)提升網(wǎng)絡(luò)和系統(tǒng)的動(dòng)態(tài)彈性等方式，不斷轉(zhuǎn)移攻擊面，增加攻擊方的入侵成本和身份暴露的可能性，以此挫敗攻擊者的攻擊。

3.2.2威脅攻擊誘捕

威脅攻擊誘捕主要滿足信息系統(tǒng)提前預(yù)防威脅攻擊的需求，應(yīng)具備誘捕文件生成、誘捕文件標(biāo)識(shí)嵌入以及誘捕環(huán)境構(gòu)建等能力。

目前，部分安全廠商已開發(fā)了蜜罐等相關(guān)的威脅攻擊誘捕工具，但缺乏與信息系統(tǒng)的結(jié)合。本文所提免疫安全防護(hù)架構(gòu)可集成現(xiàn)有威脅攻擊誘捕工具，結(jié)合免疫學(xué)習(xí)過程所掌握的信息系統(tǒng)服務(wù)模型，構(gòu)建仿真服務(wù)、仿真數(shù)據(jù)等誘餌，誘導(dǎo)攻擊者進(jìn)入誘餌，獲取偽裝數(shù)據(jù)，從而感知捕捉攻擊行為，了解攻擊者的入侵方法，分析其攻擊思路，做到知己知彼，并產(chǎn)生免疫記憶提升系統(tǒng)安全防護(hù)能力，使攻擊者遠(yuǎn)離核心資產(chǎn)，并延緩或遲滯其攻擊進(jìn)程。

3.3終端側(cè)安全防護(hù)

3.3.1終端安全防護(hù)

終端安全防護(hù)主要滿足信息系統(tǒng)用戶訪問終端的安全管控需求，應(yīng)具備外設(shè)管控、外聯(lián)控制、終端策略管理、用戶行為審計(jì)等能力。

目前，各終端安全防護(hù)廠商已具備相應(yīng)的終端防護(hù)能力，但難以進(jìn)行信息共享。本文所提免疫安全防護(hù)架構(gòu)可集成現(xiàn)有終端安全防護(hù)工具，并融合終端安全防護(hù)數(shù)據(jù)進(jìn)行威脅關(guān)聯(lián)檢測(cè)和系統(tǒng)訪問控制。

3.3.2終端檢測(cè)響應(yīng)

終端檢測(cè)響應(yīng)主要滿足信息系統(tǒng)用戶訪問終端的威脅感知和響應(yīng)需求，應(yīng)具備持續(xù)性的終端行為監(jiān)測(cè)和記錄等能力。

目前，相關(guān)安全廠商已開發(fā)相應(yīng)產(chǎn)品。本文所提免疫安全防護(hù)架構(gòu)可集成現(xiàn)有終端監(jiān)測(cè)響應(yīng)工具，并融合終端行為監(jiān)測(cè)數(shù)據(jù)和分析結(jié)果進(jìn)行威脅關(guān)聯(lián)挖掘和封堵。

3.3.3防病毒

防病毒主要滿足信息系統(tǒng)用戶訪問終端運(yùn)行環(huán)境安全可靠需求，應(yīng)具備惡意代碼查殺、系統(tǒng)漏洞修復(fù)、病毒知識(shí)庫(kù)維護(hù)、黑白名單管理等能力。

目前，各防病毒廠商已具備相應(yīng)的終端病毒查殺能力。本文所提免疫安全防護(hù)架構(gòu)可集成現(xiàn)有防病毒工具，并融合終端病毒防護(hù)數(shù)據(jù)進(jìn)行威脅關(guān)聯(lián)檢測(cè)。

４結(jié)? 語(yǔ)

本文提出了一種基于生物免疫機(jī)制的信息系統(tǒng)免疫安全防護(hù)架構(gòu)。本文利用生物免疫自適應(yīng)、自學(xué)習(xí)的特點(diǎn)，結(jié)合信息系統(tǒng)部署應(yīng)用模式，從系統(tǒng)、網(wǎng)絡(luò)、終端側(cè)分別進(jìn)行安全防護(hù)設(shè)計(jì)，并進(jìn)行各類安全防護(hù)資源的體系化管理運(yùn)用，實(shí)現(xiàn)信息系統(tǒng)安全威脅的深度挖掘和協(xié)同處置，支持信息系統(tǒng)安全防護(hù)能力的持續(xù)提升，為信息系統(tǒng)持續(xù)安全可靠運(yùn)行提供保障。